Artykuł 50 z 67

Cloudflare Tunnel przy CGNAT i braku publicznego IP

Jeśli twoje łącze siedzi za CGNAT i nie możesz normalnie przekierować portów, tunel jest jedną z najwygodniejszych dróg do wystawienia wybranych aplikacji WWW. Ruch wychodzi z serwera na zewnątrz, więc nie potrzebujesz publicznego IP ani otwartych portów przychodzących.

Usługi dodatkowe obok OMV — Tunel zwykle stawiasz dla konkretnej aplikacji WWW działającej przy OMV, a nie jako zamiennik całej domowej sieci.

Załóż domenę albo użyj już istniejącej strefy DNS.
Utwórz tunel i połącz go z konkretną usługą webową działającą lokalnie.
Sprawdź, czy ruch rzeczywiście idzie przez tunel bez otwierania portów na routerze.

Panel webowy jako usługa za tunelem — Tunel nadaje się do usług WWW, ale to nadal nie jest zachęta, żeby bez namysłu wystawiać sam panel administracyjny OMV.

Dla paneli administracyjnych dodaj dodatkową warstwę ochrony, na przykład kontrolę dostępu po stronie dostawcy tunelu.
Jeśli usługa nie musi być publiczna, zostaw ją tylko za VPN.
SMB nadal trzymaj poza światem publicznym - tunel to nie zaproszenie do wystawiania udziałów plików jak zwykłej strony WWW.

OMV pozostaje usługą prywatną — Nawet przy tunelu najbezpieczniej jest myśleć selektywnie: co naprawdę ma być publiczne, a co zostaje prywatne i dostępne tylko po VPN.

Tunel jest świetny tam, gdzie naprawdę wystawiasz aplikację webową. Nie zamienia jednak OMV w usługę, którą warto bezrefleksyjnie publikować całą na świat.

Na końcu warto zrobić jeden spokojny przegląd całości: porty, DDNS, klientów VPN, aktualizacje i test z zewnętrznej sieci. Tę checklistę zbieramy w następnym poradniku.

Następny krok Poprzedni krok